IIS與SQL伺服器安全強化

個人觀點：可以說按照下文的設定後應該可以防止一般的攻擊了！
安全設定是比較bt的拉！我想如果按照這樣的設定，破壞者真的很難混拉！^_^
－－－－－－－－－－－－－－－－－－－－－－－－－－－
步驟 ：
安裝和配置 Windows Server 2003。
1. 將\System32\cmd.exe轉移到其他目錄或更名；

2. 系統帳號盡量少，更改預設帳戶名稱（如Administrator）和描述，密碼盡量複雜；

3. 拒絕通過網路訪問該電腦（匿名登入；內建系統管理員帳戶；Support_388945a0；Guest；所有非作業系統服務帳戶）

4. 建議對一般使用者只給予讀取許可權，而只給管理員和System以完全控制許可權，但這樣做有可能使某些正常的指令碼程式不能執行，或者某些需要寫的操作不能完成，這時需要對這些檔案所在的檔案夾許可權變更，建議在做更改前先在測試機器上作測試，然後謹慎更改。

5. NTFS檔案許可權設定（注意檔案的許可權優先順序別比檔案夾的許可權高）：

檔案類型
建議的 NTFS 許可權

CGI 檔案（.exe、.dll、.cmd、.pl）
指令檔 (.asp)
包含檔案（.inc、.shtm、.shtml）
靜態內容（.txt、.gif、.jpg、.htm、.html）
Everyone（執行）
Administrators（完全控制）
System（完全控制）

6. 禁止C$、D$一類的預設共用
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0x0

7. 禁止ADMIN$預設共用
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0x0

8. 限制IPC$預設共用
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0x0 預設
0x1 匿名使用者無法列舉本機使用者列表
0x2 匿名使用者無法串連本機IPC$共用
說明:不建議使用2，否則可能會造成你的一些服務無法啟動，如SQL Server

9. 僅給使用者真正需要的許可權，許可權的最小化原則是安全的重要保障

10. 在本地安全性原則->稽核原則中開啟相應的審核，推薦的審核是：
賬戶管理 成功 失敗
登入事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登入事件 成功 失敗
審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍；審核項目太多不僅會佔用系統資源而且會導致你根本沒空去看，這樣就失去了審核的意義。 與之相關的是：
在賬戶策略->密碼原則中設定：
密碼複雜性要求 啟用
密碼長度最小值 6位
強制密碼曆史 5次
最長存留期 30天
在賬戶策略->賬戶鎖定策略中設定：
賬戶鎖定 3次錯誤登入
鎖定時間 20分鐘
複位鎖定計數 20分鐘

11. 在Terminal Service Configration（遠程服務配置）-許可權-進階中配置安全性稽核，一般來說只要記錄登入、登出事件就可以了。

12. 解除NetBios與TCP/IP協議的綁定
控制面版——網路——綁定——NetBios介面——禁用 2000：控制面版——網路和撥號連線——本網——屬性——TCP/IP——屬性——進階——WINS——禁用TCP/IP上的NETBIOS

13. 在網路連接的協議裡啟用TCP/IP篩選，僅開放必要的連接埠（如80）

14. 通過更改註冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止139空串連

15. 修改資料包的存留時間(TTL)值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十進位,預設值128)

16. 防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAttackProtect REG_DWORD 0x2(預設值為0x0)

17. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\Interfaces\interface
PerformRouterDiscovery REG_DWORD 0x0(預設值為0x2)

18. 防止ICMP重新導向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects REG_DWORD 0x0(預設值為0x1)

19. 不支援IGMP協議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0x0(預設值為0x2)

20. 設定arp快取老化時間設定
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數,預設值為120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數,預設值為600)

21. 禁止死網關監測技術
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0x0(預設值為ox1)

22. 不支援路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(預設值為0x0)

安裝和配置 IIS 服務：

1. 僅安裝必要的 IIS 組件。（禁用不需要的如FTP 和 SMTP 服務）

2. 僅啟用必要的服務和 Web Service 擴充，推薦配置:

UI 中的組件名稱
設定
設定邏輯

背景智慧型傳送服務 (BITS) 伺服器擴充
啟用
BITS 是 Windows updates 和"自動更新"所使用的後台檔案傳輸機制。如果使用 Windows updates 或"自動更新"在 IIS 伺服器中自動應用 Service Pack 和熱Hotfix，則必須有該組件。

公用檔案
啟用
IIS 需要這些檔案，一定要在 IIS 伺服器中啟用它們。

檔案傳輸通訊協定 (FTP) 服務
禁用
允許 IIS 伺服器提供 FTP 服務。專用 IIS 伺服器不需要該服務。

FrontPage 2002 Server Extensions
禁用
為管理和發布 Web 網站提供 FrontPage 支援。如果沒有使用 FrontPage 擴充的 Web 網站，請在專用 IIS 伺服器中禁用該組件。

Internet 資訊服務管理器
啟用
IIS 的管理介面。

Internet 列印
禁用
提供基於 Web 的印表機管理，允許通過 HTTP 共用印表機。專用 IIS 伺服器不需要該組件。

NNTP 服務
禁用
在 Internet 中分發、查詢、檢索和投遞 Usenet 新聞文章。專用 IIS 伺服器不需要該組件。

SMTP 服務
禁用
支援傳輸電子郵件。專用 IIS 伺服器不需要該組件。

全球資訊網服務
啟用
為用戶端提供 Web 服務、靜態和動態內容。專用 IIS 伺服器需要該組件。

全球資訊網服務子組件

UI 中的組件名稱
安裝選項
設定邏輯

Active Server Page
啟用
提供 ASP 支援。如果 IIS 伺服器中的 Web 網站和應用程式都不使用 ASP，請禁用該組件；或使用 Web 服務擴充禁用它。

Internet

資料連線器
禁用
通過副檔名為 .idc 的檔案提供動態內容支援。如果 IIS 伺服器中的 Web 網站和應用程式都不包括 .idc 擴充檔案，請禁用該組件；或使用 Web 服務擴充禁用它。

遠端管理 (HTML)
禁用
提供管理 IIS 的 HTML 介面。改用 IIS 管理器可使管理更容易，並減少了 IIS 伺服器的攻擊面。專用 IIS 伺服器不需要該功能。

遠端桌面網頁連線
禁用
包括了管理終端服務用戶端串連的 Microsoft ActiveX® 控制項和範例頁面。改用 IIS 管理器可使管理更容易，並減少了 IIS 伺服器的攻擊面。專用 IIS 伺服器不需要該組件。

伺服器端包括
禁用
提供 .shtm、.shtml 和 .stm 檔案的支援。如果在 IIS 伺服器中啟動並執行 Web 網站和應用程式都不使用上述擴充的包括檔案，請禁用該組件。

WebDAV
禁用
WebDAV 擴充了 HTTP/1.1 協議，允許用戶端發布、鎖定和管理 Web 中的資源。專用 IIS 伺服器禁用該組件；或使用 Web 服務擴充禁用該組件。

全球資訊網服務
啟用
為用戶端提供 Web 服務、靜態和動態內容。專用 IIS 伺服器需要該組件

3. 將IIS目錄&資料與系統磁碟分開，儲存在專用磁碟空間內。

4. 在IIS管理器中刪除必須之外的任何沒有用到的映射（保留asp等必要映射即可）

5. 在IIS中將HTTP404 Object Not Found出錯頁面通過URL重新導向到一個定製HTM檔案

6. Web網站許可權設定（建議）

Web 網站許可權：
授與權限：

讀
允許

寫
不允許

指令碼源訪問
不允許

瀏覽目錄
建議關閉

日誌訪問
建議關閉

索引資源
建議關閉

執行
推薦選擇 "僅限於指令碼"

7. 建議使用W3C擴充記錄檔格式，每天記錄客戶IP地址，使用者名稱，伺服器連接埠，方法，URI字根，HTTP狀態，使用者代理程式，而且每天均要審查日誌。（最好不要使用預設的目錄，建議更換一個記日誌的路徑，同時設定日誌的存取權限，只允許管理員和system為Full Control）。

8. 程式安全:
1) 涉及使用者名稱與口令的程式最好封裝在伺服器端，盡量少的在ASP檔案裡出現，涉及到與資料庫連接地使用者名稱與口令應給予最小的許可權;
2) 需要經過驗證的ASP頁面，可跟蹤上一個頁面的檔案名稱，只有從上一頁面轉進來的會話才能讀取這個頁面。
3) 防止ASP首頁.inc檔案泄露問題;
4) 防止UE等編輯器產生some.asp.bak檔案泄露問題。

安全更新。
應用所需的所有 Service Pack 和 定期手動更新補丁。

安裝和配置防防毒保護。
推薦NAV 8.1以上版本病毒防火牆（配置為至少每周自動升級一次）。

安裝和配置防火牆保護。
推薦最新版BlackICE Server Protection防火牆（配置簡單，比較實用）

監視解決方案。
根據要求安裝和配置 MOM代理或類似的監視解決方案。

加強資料備份。
Web資料定時做備份，保證在出現問題後可以恢複到最近的狀態。

考慮實施 IPSec 篩選器。
用 IPSec 過濾器阻斷連接埠

網際網路通訊協定安全性 (IPSec) 過濾器可為增強伺服器所需要的安全層級提供有效方法。本指南推薦在指南中定義的高安全性環境中使用該選項，以便進一步減少伺服器的受攻擊面。

有關使用 IPSec 過濾器的詳細資料，請參閱模組其他成員伺服器強化過程。

下表列出在本指南定義的進階安全性環境下可在 IIS 伺服器上建立的所有 IPSec 過濾器。

服務
協議
源連接埠
目標連接埠
源地址
目標地址
操作
鏡像

Terminal Services
TCP
所有
3389
所有
ME
允許
是

HTTP Server
TCP
所有
80
所有
ME
允許
是

HTTPS Server
TCP
所有
443
所有
ME
允許
是

在實施上表所列舉的規則時，應當對它們都進行鏡像處理。這樣可以確保任何進入伺服器的網路通訊也可以返回到原始伺服器。

SQL伺服器安全強化

步驟
說明

MDAC 升級
安裝最新的MDAC（http://www.microsoft.com/data/download.htm）

密碼原則
由於SQL Server不能更改sa使用者名稱稱，也不能刪除這個超級使用者，所以，我們必須對這個帳號進行最強的保護，當然，包括使用一個非常強壯的密碼，最好不要在資料庫應用中使用sa帳號。建立立一個擁有與sa一樣許可權的超級使用者來管理資料庫。同時養成定期修改密碼的好習慣。資料庫管理員應該定期查看是否有不符合密碼要求的帳號。比如使用下面的SQL語句：
Use master
select name,Password from syslogins where password is null

資料庫日誌的記錄
核心數據庫登入事件的"失敗和成功"，在執行個體屬性中選擇"安全性"，將其中的審核層級選定為全部，這樣在資料庫系統和作業系統日誌裡面，就詳細記錄了所有帳號的登入事件。

管理擴充預存程序
xp_cmdshell是進入作業系統的最佳捷徑，是資料庫留給作業系統的一個大後門。請把它去掉。使用這個SQL語句：
use master
sp_dropextendedproc 'xp_cmdshell'
如果你需要這個預存程序，請用這個語句也可以恢複過來。
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'

OLE自動預存程序（會造成管理器中的某些特徵不能使用），這些過程包括如下（不需要可以全部去掉：
Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的註冊表訪問的預存程序，註冊表格儲存體過程甚至能夠讀出作業系統管理員的密碼來，如下：
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite

防TCP/IP連接埠探測
在執行個體屬性中選擇TCP/IP協議的屬性。選擇隱藏 SQL Server 執行個體。
請在上一步配置的基礎上，更改原預設的1433連接埠。
在IPSec過濾拒絕掉1434連接埠的UDP通訊，可以儘可能地隱藏你的SQL Server。

對網路連接進行IP限制
使用作業系統自己的IPSec可以實現IP資料包的安全性。請對IP串連進行限制，保證只有自己的IP能夠訪問，拒絕其他IP進行的連接埠串連。